Tomcat弱口令+后端getshell漏洞

Posted 永远是少年啊

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Tomcat弱口令+后端getshell漏洞相关的知识,希望对你有一定的参考价值。

今天继续给大家介绍渗透测试相关知识,本文主要内容是Tomcat弱口令+后端getshell漏洞。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、漏洞简介与环境搭建

Tomcat服务自带一个管理页面,URL为:http://your-ip:8080/manager/html
在tomcat8默认安装下,tomcat中没有任何用户,且该URL只允许本地IP访问,那么这个漏洞就不存在。但是如果业务有远程管理的需求,那么管理员就需要进行配置(相关配置可参考文章:Tomcat详解(十一)——Tomcat管理),如果管理员配置的用户名和密码配置不当,就可能被攻击者利用,进而进入tomcat后台管理页面。
进入到后台管理页面后,如果tomcat配置了允许上传的权限,那么我们就可以上传war包了,我们上传的war包对于Tomcat而言其实是一个模块,Tomcat会将该war包解压,然后生成一个同名目录,目录下是war压缩包里的文件。这样,我们就可以借助这一机制,上传JSP木马,连接后就可以获得shell权限了。
我们可以使用vulhub来搭建靶场,进入/vulhub-master/tomcat/tomcat8目录后,执行命令:

docker-compose up -d

即可下载并开启靶场环境,该命令执行结果如下所示:

之后,执行命令:

docker-compose config

可以查看靶场的配置,结果如下所示:

二、弱口令漏洞进入后台管理页面实战

打开靶场后,我们访问URL:http://192.168.136.13:8080/manager/html(这个URL是Tomcat管理页面的固定URL),页面如下所示:

在这里,我们可以探测tomcat是否存在弱口令漏洞,如果能够成功爆破出后台的用户名、密码,就可以进入后台了,后台如下所示:

三、上传木马getshell实战

在后台管理页面下面,有一个Deploy页面,如下所示:

在这里,我们需要上传一个war包。war包这样构造:首先选择一个JSP木马,将其命名为test1.jsp,然后将该文件添加到压缩文件,注意是zip类型的压缩文件。然后我们把压缩文件重命名为test2.war。
这样生成的shell,URL为:http://192.168.136.13:8080/test2/test1.jsp。
我们使用蚁剑连接,结果如下所示:

原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

以上是关于Tomcat弱口令+后端getshell漏洞的主要内容,如果未能解决你的问题,请参考以下文章

tomcat8+ 弱口令 && 后台getshell 漏洞复现

Tomcat弱口令GetShell

Vulhub Tomcat8 弱口令 && 后台getshell(底部有抽奖)

Tomcat8弱口令上传webshell

Tomcat后台弱口令Getshell

weblogic漏洞系列-后台上传文件getshell